Configurar os recursos avançados de ambiente
A área Recursos Avançados na área Configurações Gerais fornece muitas opções para habilitar/desabilitar recursos dentro do produto. Alguns desses recursos você aprenderá em módulos posteriores.
Dependendo dos produtos de segurança da Microsoft que você utiliza, alguns recursos avançados poderão estar disponíveis para você integrar ao Defender para Ponto de Extremidade.
No painel de navegação, selecione Configurações > Pontos de Extremidade > Recursos avançados.
Selecione o recurso avançado que você deseja configurar e alterne a configuração entre Ativado e Desativado.
Selecione Salvar preferências.
Use os recursos avançados a seguir para aprimorar sua proteção contra arquivos possivelmente mal intencionados e obter melhores insights durante as investigações de segurança.
Investigação automatizada
Ative esse recurso para aproveitar os recursos automatizados de investigação e correção do serviço. Para obter mais informações, confira Investigação automatizada.
Resposta dinâmica
Observação
A resposta dinâmica requer que a Investigação automatizada seja ativada para habilitá-la na seção de configurações avançadas no portal.
Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta dinâmica nos dispositivos.
Resposta dinâmica para servidores
Ative esse recurso para que os usuários com as permissões apropriadas possam iniciar uma sessão de resposta dinâmica nos servidores.
Execução do script não assinado de resposta dinâmica
Habilitar esse recurso permite que você execute scripts não assinados em uma sessão de resposta dinâmica.
Sempre corrigir PUA
PUA (aplicativos potencialmente indesejados) são uma categoria de software que pode fazer com que seu computador seja executado com lentidão, exibir anúncios inesperados ou, na pior das hipóteses, instalar outros softwares inesperados ou indesejados.
Ative esse recurso para que PUA (aplicativos potencialmente indesejados) sejam corrigidos em todos os dispositivos em seu locatário, mesmo que a proteção contra PUA não esteja configurada nos dispositivos. A ativação desse recurso ajuda a proteger os usuários contra a instalação inadvertida de aplicativos indesejados em seus dispositivos. Quando desativada, a correção passa a depender da configuração do dispositivo.
Restringir a correlação a grupos de dispositivos dentro do escopo
Essa configuração pode ser usada para cenários em que as operações locais do SOC desejam limitar as correlações de alertas apenas aos grupos de dispositivos que possam acessar. Ao habilitar essa configuração, um incidente composto por alertas que passam por grupos de dispositivos não serão mais consideradas um único incidente. Assim, o SOC local pode tomar medidas sobre o incidente porque eles têm acesso a um dos grupos de dispositivos envolvidos. No entanto, o SOC global vê vários incidentes diferentes por grupo de dispositivos em vez de um único incidente. Não recomendamos ativar essa configuração, a menos que isso supere os benefícios da correlação de incidentes em toda a organização.
Observação
A alteração dessa configuração afeta apenas correlações de alerta futuras.
Habilitar EDR no modo de bloqueio
A EDR (detecção e resposta de ponto de extremidade) no modo de bloqueio fornece proteção contra artefatos mal-intencionados, mesmo quando o Microsoft Defender Antivírus está em execução no modo passivo. Quando ativado nesse modo, o EDR bloqueia artefatos mal-intencionados ou comportamentos detectados em um dispositivo. O EDR no modo de bloqueio funciona nos bastidores para corrigir artefatos mal-intencionados que são detectados após a violação.
Resolver automaticamente alertas corrigidos
Para locatários criados no Windows 10, versão 1809 ou após essa versão, a investigação automatizada e a funcionalidade de correção são configurados por padrão para resolver alertas em que o status do resultado da análise automatizada é "nenhuma ameaça encontrada" ou "corrigido". Se você não quiser que os alertas sejam resolvidos automaticamente, precisará desativar manualmente o recurso.
Dica
Para locatários criados antes dessa versão, você precisará ativar manualmente esse recurso na página Recursos avançados.
Observação
O resultado da ação de resolução automática poderá influenciar o cálculo do Nível de risco do dispositivo que é baseado nos alertas ativos encontrados em um dispositivo. Se um analista de operações de segurança definir manualmente o status de um alerta como "Em andamento" ou "Resolvido", a capacidade de resolução automática não o substituirá.
Permitir ou bloquear arquivo
O bloqueio só estará disponível se a sua organização atender a estes requisitos:
- Usa o Microsoft Defender Antivírus como a solução antimalware ativa
- O recurso de proteção baseada em nuvem está habilitado
Esse recurso permite que você bloqueie arquivos possivelmente maliciosos em sua rede. O bloqueio de um arquivo impede que ele seja lido, gravado ou executado em dispositivos da sua organização.
Depois de ativar esse recurso, você pode bloquear arquivos por meio da guia Adicionar Indicador na página de perfil de um arquivo.
Indicadores de rede personalizados
Ativar esse recurso permite que você crie indicadores para endereços IP, domínios ou URLs, que determinam se eles serão permitidos ou bloqueados com base na sua lista de indicadores personalizados.
Para usar esse recurso, os dispositivos devem estar executando o Windows 10 versão 1709 ou posterior, ou o Windows 11. Eles também devem ter proteção de rede no modo de bloqueio e na versão 4.18.1906.3 ou posterior da plataforma antimalware. Confira KB 4052623.
Observação
A proteção de rede usa serviços de reputação que processam solicitações em locais que podem estar fora do local selecionado para seus dados do Defender para Ponto de Extremidade.
Proteção contra adulterações
Durante alguns tipos de ataques cibernéticos, os atores mal-intencionados tentam desabilitar recursos de segurança, como a proteção antivírus, em seus computadores. Esses atores têm a intenção de desabilitar seus recursos de segurança para obter acesso mais fácil aos seus dados, instalar malware ou explorar seus dados, sua identidade e seus dispositivos de outras maneiras.
A proteção contra adulterações essencialmente bloqueia o Microsoft Defender Antivírus e impede que suas configurações de segurança sejam alteradas por meio de aplicativos e métodos.
Esse recurso fica disponível se a sua organização usa o Microsoft Defender Antivírus e se a proteção baseada em Nuvem é habilitada.
Deixe a proteção contra adulterações ativada para evitar alterações indesejadas em sua solução de segurança e seus recursos essenciais.
Mostrar detalhes do usuário
Ative esse recurso para que você possa ver os detalhes do usuário armazenados no Microsoft Entra ID. Os detalhes incluem a imagem, nome, título e informações de departamento de um usuário ao investigar entidades de conta de usuário. Você pode encontrar informações de conta de usuário nos seguintes modos de exibição:
- Painel de operações de segurança
- Fila de alertas
- Página Detalhes do Dispositivo
Integração do Skype for Business
Habilitar a integração do Skype for Business permitirá que você se comunique com os usuários por Skype for Business, email ou telefone. Essa ativação poderá ser útil quando você precisar se comunicar com o usuário e reduzir riscos.
Observação
Quando um dispositivo está sendo isolado da rede, há um pop-up no qual você pode optar por habilitar as comunicações do Outlook e do Skype, o que permite comunicações com o usuário enquanto ele está desconectado da rede. Essa configuração se aplica à comunicação por Skype e Outlook quando os dispositivos estão no modo de isolamento.
Integração do Microsoft Defender para Identidade
A integração com o Microsoft Defender para Identidade permite dinamizar diretamente em outro produto do Microsoft Identity Security. O Microsoft Defender para Identidade aumenta uma investigação com mais insights sobre uma conta comprometida suspeita e recursos relacionados. Ao habilitar esse recurso, você enriquecerá o recurso de investigação baseada em dispositivo ao dinamizar pela rede a partir de um ponto de vista de identidade.
Observação
Você precisará ter a licença apropriada para habilitar esse recurso.
Conexão da Inteligência Contra Ameaças do Office 365
Esse recurso está disponível somente se você tiver um Office 365 E5 ativo ou o complemento de Inteligência contra Ameaças.
Ao ativar esse recurso, você poderá incorporar dados do Microsoft Defender para Office 365 no Microsoft Defender XDR para realizar uma investigação de segurança abrangente em caixas de correio do Office 365 e dispositivos Windows.
Observação
Você precisará ter a licença apropriada para habilitar esse recurso.
Para receber a integração de dispositivo contextual na Inteligência contra Ameaças do Office 365, você precisará habilitar as configurações do Defender para Ponto de Extremidade no painel de Segurança e Conformidade.
Especialistas em Ameaças da Microsoft – Notificações de Ataques Direcionados
Você só poderá usar a funcionalidade de especialistas sob demanda se tiver se inscrito na versão prévia e sua inscrição tiver sido aprovada. Você pode receber notificações sobre ataques direcionados de Especialistas em Ameaças da Microsoft por meio do painel de alertas do portal e por email se configurá-lo.
Microsoft Defender for Cloud Apps
A habilitação dessa configuração encaminha os sinais do Defender para Ponto de Extremidade para o Microsoft Defender for Cloud Apps a fim de fornecer uma visibilidade mais profunda do uso do aplicativo de nuvem. Os dados encaminhados são armazenados e processados no mesmo local que os dados do Defender for Cloud Apps.
Habilitar a integração do Microsoft Defender para Ponto de Extremidade no portal Microsoft Defender para Identidade
Para receber a integração de dispositivo contextual no Microsoft Defender para Identidade, você também precisará habilitar o recurso no portal Microsoft Defender para Identidade.
Filtragem de conteúdo da Web
Bloqueie o acesso a sites que contêm conteúdo indesejado e acompanhe a atividade da Web em todos os domínios. Para especificar as categorias de conteúdo da Web que você deseja bloquear, crie uma política de filtragem de conteúdo da Web. Verifique se você tem proteção de rede no modo de bloqueio ao implantar a linha de base de segurança do Microsoft Defender para Ponto de Extremidade.
Compartilhar alertas de ponto de extremidade com o portal de conformidade do Microsoft Purview
Encaminha os alertas de segurança do ponto de extremidade e o status da triagem para o portal de conformidade do Microsoft Purview, permitindo que você aprimore políticas de gerenciamento de riscos internos com alertas e corrija os riscos internos antes que eles causem danos. Os dados encaminhados são processados e armazenados no mesmo local que os dados do Office 365.
Depois de configurar os indicadores de violação de política de Segurança nas configurações de gerenciamento de risco para informações privilegiadas, os Alertas do Microsoft Defender para Ponto de Extremidade serão compartilhados com o gerenciamento de riscos para informações privilegiadas de usuários aplicáveis.
Conexão ao Microsoft Intune
O Defender para Ponto de Extremidade pode ser integrado no Microsoft Intune para habilitar o acesso condicional baseado em risco do dispositivo. Ao ativar esse recurso, você poderá compartilhar informações de dispositivo do Defender para Ponto de Extremidade com o Intune, aprimorando a imposição de política.
Importante
Você precisará habilitar a integração no Intune e no Defender para Ponto de Extremidade para usar esse recurso.
Esse recurso estará disponível somente se você tiver os seguintes pré-requisitos:
Um locatário licenciado para o Enterprise Mobility + Security E3 e Windows E5 (ou Microsoft 365 Enterprise E5)
Um ambiente ativo do Microsoft Intune, com dispositivos Windows gerenciados pelo Intune e ingressados no Microsoft Entra.
Política de Acesso Condicional
Ao habilitar a integração do Intune, o Intune criará automaticamente uma política de acesso condicional (AC) clássica. Essa política de autoridade de certificação clássica é um pré-requisito para configurar relatórios de status para o Intune. Ele não deve ser excluído.
Observação
A política de AC clássica criada pelo Intune é distinta das políticas modernas de Acesso Condicional, que são usadas para configurar pontos de extremidade.
Descoberta de dispositivo
Ajuda você a encontrar dispositivos não gerenciados conectados à sua rede corporativa sem a necessidade de dispositivos extras nem alterações de processo complicadas. Usando dispositivos integrados, você consegue encontrar dispositivos não gerenciados em sua rede e avaliar vulnerabilidades e riscos.
Observação
Você sempre pode aplicar filtros para excluir dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração em consultas de API para filtrar dispositivos não gerenciados.
Versão prévia dos recursos
Conheça os novos recursos da versão prévia do Defender para Ponto de Extremidade. Experimente os novos recursos ativando a experiência de pré-visualização.
Você terá acesso a recursos futuros sobre os quais poderá fornecer comentários para ajudar a melhorar a experiência geral antes de os recursos estarem amplamente disponíveis.
Baixar arquivos em quarentena
Faça backup de arquivos em quarentena em um local seguro e em conformidade para que eles possam ser baixados diretamente da quarentena. O botão Baixar arquivo sempre estará disponível na página do arquivo. Esta configuração está ativada por padrão.